דו"ח טכנולוגי
אחרי שחשף את פרטי האזרחים, משרד הפנים רוצה את האימייל ומספר הסלולר שלהם
המדינה רוצה, באמצעות חוק ההסדרים החדש, לקבל עלינו עוד פרטים ולשתף אותם ללא אבחנה עם מאות גופים קטנים וגדולים, ללא אפשרות לפיקוח אמיתי על השימוש בהם
לפי טיוטת חוק ההסדרים, כל אזרח ישראלי יחוייב למסור למשרד הפנים את כתובת האימייל ומספר הטלפון הסלולרי שלו. למי שאולי שכח, אזכיר שמשרד הפנים זה אותו משרד שלא הצליח לשמור על מאגר מרשם האוכלוסין ואפשר את דליפת כל פרטי אזרחי ישראל לרשת (בדמות תוכנת אגרון הידוע לשמצה), ושהגיב לדליפות פנקס האוכלוסין מאפליקציית אלקטור במהלך מערכת הבחירות האחרונה בלא הרבה יותר ממשיכת כתפיים. ולא רק משרד הפנים יקבל את הפרטים – הגישה להם תהיה חשופה לעוד הרבה גופים אחרים. במקרה כזה, זה רק עניין של זמן שלכל גולש ברשת יהיה אותם.
לפי חוק ההסדרים, איסוף המידע יתבצע באמצעות לשכות מרשם האוכלוסין, תחת ההגדרה של "מען דיגיטלי". אם תאושר ההצעה, בעת שמגיע אזרח על מנת להנפיק תעודת זהות או דרכון יחויב למסור לפקיד את "מענו הדיגיטלי" – "כתובת דואר אלקטרוני" ו"מספר טלפון נייד". הפקיד יבצע גם תהליך אימות על מנת לוודא שלאזרח יש גישה לפרטים שמסר. בנוסף, תתבצע פנייה לכל הרשומים במרשם האוכלוסין בדרישה למסור את המען הדיגטלי שלהם.
המטרה המוצהרת לאיסוף מידע הזוי זה היא "לשפר את השירות הממשלתי והציבורי ולהקל על הנטל הבירוקרטי, ולספק שירותים דיגיטליים ודיוור דיגיטלי על ידי גופים ציבוריים לתושבים ולעסקים, באופן איכותי, מהימן, מתקדם ונוח לשימוש". או, במלים אחרות: לאפשר לגופי ממשלה ואחרים לשלוח לכם אימייל ו-SMS אם מתחשק להם. איזה גופים? טוב ששאלתם כי יש רשימה ארוכה בת 16 סעיפים של "גופים הציבוריים" שיקבלו גישה למידע ושכוללת את משרדי הממשלה, צה"ל, הכנסת, משכן הנשיא, בתי המשפט, משטרה, שב"ס, רשות הכבאות, משרד מבקר המדינה, רשויות מוניציפליות, ואפילו את מכון התקנים.
האזרח אמנם יוכל להודיע שהוא לא מעוניין לקבל מסרים מגופים ציבוריים, אך הדבר לא מונע את העברת המידע אליהם ואפילו מאפשר להם להמשיך ולשלוח מסרים אם מדובר במסר מותאם אישית שנועד להזהיר או להנחות לבצע פעולה במצב חירום.
יש פרצות קטנות בהצעה שיכולות לאפשר להמנע ממסירת המידע. לפי אחד הסעיפים חובת המסירה קיימת "אם יש בידיו (של האזרח) מען דיגיטלי". כלומר, לכאורה ניתן לטעון שאין לאזרח כתובת אימייל או מספר סלולר, ועכשיו נראה את הפקיד מוכיח אחרת. בנוסף, מצוין אי עמידה בחובת המסירה "לא תהווה עבירה". כלומר, ייתכן שאפשר יהיה פשוט לסרב למסור את הפרטים ללא סנקציות כלשהן. ואולם, גם אם אכן ניתן יהיה לנצל פרצות אלו, יהיו כנראה מעט מאוד אזרחים שיעשו זאת ומרגע תחילת האיסוף צפוי המאגר לכלול את מספר הסלולר וכתובת האימייל של הרוב המכריע אזרחי ישראל.
"אין כל צורך להעביר רעיון כזה בחוק ההסדרים. מהי הדחיפות? מדוע להעביר ללא דיון ציבורי?" תהתה ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה. "להוסיף עוד שכבות מידע ל'מידע פנקס' כשברור היום שהוא מועבר לגופים שלא יודעים לאבטח אותו היטב וכן שנעשה בו שימוש כדי להשפיע על הבחירות זה מעשה של חוסר אחריות. איכשהו נראה תמיד שהפרטיות שלי לא מעניינת את מקבלי ההחלטות והם נזכרים בחשיבות הפרטיות רק כשזה מגיע לעניינים האישיים שלהם".
עו"ד חיים רביה, ראש קבוצת האינטרנט והסייבר במשרד פרל כהן צדק לצר ברץ, הוסיף: "כשהממשלה מתרגלת למעקב אחרי האזרחים, מה הפלא שהיא חושבת שהיא יכולה לדרוש מהם מידע אישי בתואנה קלושה של שיפור התקשורת איתם. זה נימוק כל כך מופרך, שהוא מעיד איזה חוסר כבוד הממשלה רוחשת לאזרחיה. הרי מי שרוצה בקשר אלקטרוני איתו יכול לספק את כתובתו מרצונו. תתכבד הממשלה ותפעל קודם כל לאפשר תקשורת עם משרדיה ופקידיה במייל ולא בפקס משנות התשעים, ושתעזוב אותנו במנוחה. כל יום מניב יוזמות חדשות לפגוע בפרטיות שמתאימות לדמוקרטיות מפוארות כמו סין או צפון קוריאה. ואגב, אני רוצה לראות את מירשם האוכלוסין מצליח לנהל מאגר מעודכן של כתובות משתנות תדיר ומאבטח את המידע באופן שזה לא יהיה גן עדן לספאמרים... זה רק יעודד למסור לה נתונים שקריים, עוד שלב במשבר האמון בין הממשלה לאזרחיה".
מומחים אבטחת מידע בינתיים, הזהירו מדליפה כמעט בטוחה של המידע. רן בר זיק, מתכנת בכיר בוורייזון מדיה, ראה כמה דליפות מידע בחייו. במערכת הבחירות האחרונה, הוא והאקר נעם רותם זיהו את פרצות האבטחה השונות באפליקציית דרבון הבוחרים אלקטור וכן באתר הליכוד, שחשפו את כל פנקס הבוחרים של הליכוד. והוא יודע בדיוק איך הסיפור הזה צפוי להיגמר.
"משרד הפנים אחראי על חלק מדליפות המידע העצומות ביותר שהיו", הזכיר בר זיק. "לא רק דליפות מרשם הבוחרים, שבנוגע אליהן לא נעשה דבר, אלא גם דליפות חמורות יותר כמו דליפת הנתונים האישיים של אלו שנרשמו להוצאת תעודה ביומטרית. מתן הפרטים האלו מבטיח שהם ידלפו. אם אתם נהנים לקבל ספאם, ניסיונות פישינג ואחרים - אתם יכולים להעביר את הפרטים למשרד הפנים. הוא כבר ידאג שהם ידלפו הלאה. לכל השאר - מומלץ לסרב. לפחות עד שנדע שאבטחת מידע במשרד הפנים היא משמעותית יותר. אני לא ממליץ לתת שום פרט. מייל + תעודת זהות + שם שדולף זה אסון, כי אז אפשר לבצע מתקפות ממש אפקטיביות ולעשות הרבה יותר נזקים".
רותם גם לא אופטימי מדי: "הבעיה מתחילה כשבוחנים את הרקורד המאוד בעייתי של המדינה בשמירה על מסד הנתונים הזה. סביר מאוד להניח שתוך זמן לא רב הוא יגיע לידיים של גופים מסחריים שממילא אוספים את המידע הזה לצרכיהם, והמדינה פשוט תעשה את זה קל יותר בשבילם להטריד אותנו טוב יותר. מה שצפוי לקרות זה גידול בכמות ההטרדות מגופים ממשלתיים ומסחריים, דבר שבכלל לא בטוח שיפעל לטובת האזרחים. מהלך נכון יותר היה להציע לאזרחים המעוניינים בכך לחלוק את המידע עם המדינה, לאחר שיובהר במדויק למה הוא ישומש. כאשר הדברים נעשים בכפייה וללא מתן אפשרות בחירה, יש לשאול איזה גופים פוליטיים ומסחריים צפויים להרוויח ממנו".
אז בואו נשאל באמת איזה גופים פוליטיים יכולים להרוויח מהמהלך? בטיוטת חוק ההסדרים, לא נאמר שהמידע שייאסף יכלל בפנקס הבוחרים ויועבר למפלגות לפני כל מערכת בחירות. ואולם, רק פסע קיים בין איסוף המידע ושיתופו עם מאות גופים שונים (יש בישראל יותר מ-250 רשויות מקומיות, ולפי הנוסח לכולן תהיה גישה למידע), לבין דרישה של המפלגות לקבל גם הן מידע זה במסגרת פנקס הבוחרים, על מנת שיוכלו לפנות בצורה טובה יותר למצביעים.
ולאור העובדה שמפלגות הן קבוצת הלחץ החזקה ביותר בכנסת – הרי כל חברי הכנסת מייצגים את האינטרסים שלהן – חקיקה שתאפשר זאת לא תהיה מהלך ארוך מדי. "נשמע שהמהלך הזה קשור לבעיות של מפלגות להגיע למצביעים הפוטנציאליים שלהן, והן פשוט מבקשות מהמדינה לעשות את עבודת איסוף הלידים בשבילן", העריך רותם. פנקס הבוחרים דלף שלוש פעמים נפרדות (שאנחנו יודעים עליהן) במערכת הבחירות האחרונה בלבד. לא דרוש הרבה כדי שידלוף שוב.
כפי שכבר כתבתי כאן בעבר, מדינת ישראל ממחישה באופן קבוע עד כמה היא מזלזלת בפרטיות האזרחים ובהגנה על המידע שלהם. נגד הליכוד או אלקטור לא ננקטו צעדים משמעותיים מטעם המדינה בעקבות דליפת המידע שהתרחשו תחת אחריותם, הן אפילו הורשו להמשיך לפעול כרגיל בימים שלאחר גילוי הפרצות השונות. כרגע, הסנקציה האפשרית החמורה ביותר תגיע, אולי, מתביעה אזרחית שהוגשה נגדן. אבל צעדים משמעותיים מצד המדינה? יוק.
עכשיו רוצה המדינה לקבל עוד פרטים, כאלו שמאפשרים תקשורת ישירה ומיידית עם כל אזרח, ולשתף אותם ללא אבחנה עם מאות גופים קטנים וגדולים, בלי שום אופן אמיתי לפקח על השימוש בהם או על הסדרי אבטחת המידע השונים. מהלך שכמעט מבטיח את דליפתם ההמונית במקרה הרע, או שבמקרה הטוב יאפשר ל"גופים ציבוריים" להפגיז אזרחים במידע מעיק ולא רלוונטי. אז מה הפלא שאפשר לסכם את מה שאנחנו חושבים על הרעיון באימוג'י מאוכזב.